CN1503533A - 一种802.1x认证的实现方法 - Google Patents
一种802.1x认证的实现方法 Download PDFInfo
- Publication number
- CN1503533A CN1503533A CNA021487669A CN02148766A CN1503533A CN 1503533 A CN1503533 A CN 1503533A CN A021487669 A CNA021487669 A CN A021487669A CN 02148766 A CN02148766 A CN 02148766A CN 1503533 A CN1503533 A CN 1503533A
- Authority
- CN
- China
- Prior art keywords
- message
- equipment end
- eapol
- dhcp
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种802.1X认证的实现方法,当802.1X客户端发出包括DHCP在内的认证触发报文且802.1X设备端开启了允许DHCP报文作为802.1X认证触发报文的开关时,802.1X设备端接收该DHCP报文,并将其转化为EAPoL-Start报文,然后用转化后的EAPoL-Start报文触发802.1X标准认证过程,否则用EAPoL-Start报文直接触发802.1X认证或结束触发过程。该方法保证了对网络上不能透传EAPoL-Start报文的老设备的兼容,并使802.1X能够更广泛的应用。
Description
技术领域
本发明涉及了网络接入认证技术,特别是涉及一种是否选择用动态主机配置协议(DHCP)触发802.1X认证的方法。
背景技术
802.1X标准协议是在2001年6月正式通过的基于端口的网络访问控制协议。以前的网络访问协议,比如IEEE的802 LAN协议所定义的局域网不提供接入认证,只要用户能接入局域网控制设备,用户就可以访问局域网中的设备或资源。但是对于如电信接入、写字楼局域网或移动办公等应用,设备提供者希望能对用户的接入进行控制和配置,为此产生了802.1X接入控制需求。
802.1X协议的推出,为宽带接入用户提供了更加方便、安全的接入手段。其使没有通过用户认证的端口不能访问网络内的资源,通过认证的端口可以自动动态配置并访问网络资源,这是区别于传统以太网交换机的特性。
图1为802.1X体系的基本结构组成示意图,如图1所示,802.1X系统共有三个实体:客户端(Supplicant System)、设备端(Authenticator System)和认证服务器(Authentication Server System)。其中,设备端和认证服务器之间采用扩展认证协议(EAP,Expanded Authentication Protocol)交换认证信息;客户端和设备端之间采用EAPOL(EAP Over Lan)协议的EAP报文交换认证信息;设备端内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port):非受控端口用来传递EAPOL协议帧,始终处于双向连通状态,保证随时接收和发送EAPOL协议帧;而受控端口用来传递网络资源和数据,默认状态为未连通状态,只有在EAPOL认证通过的状态下才变为连通状态,传递网络资源和数据。
基于上述系统结构的802.1X基本认证过程,参见图3所示,至少包括以下步骤:
步骤304:802.1X设备端由客户端和设备端之间的认证协议开始帧(EAPoL-Start)触发802.1X认证机制后,启动802.1X认证过程,首先由802.1X客户端建立客户端与设备端之间的通信连接。
步骤305:802.1X设备端向802.1X客户端发出请求身份认证报文EAPoL-Request[Identity],要求获取802.1X客户端的用户名。
步骤306~307:802.1X客户端收到该请求后,将自身的用户名放入应答报文中,然后向802.1X设备端返回响应身份认证报文EAPoL-Response[Identity];802.1X设备端接收响应,802.1X客户端此时等待802.1X设备端的下一指令。
步骤308:802.1X设备端继续向802.1X客户端发送请求密码认证报文EAPoL-Request[MD5 Challenge],向802.1X客户端进行一种加密算法的质询。
步骤309~310:802.1X客户端收到该请求后,将确定的加密算法代码放入应答报文中,然后向802.1X设备端返回响应密码认证报文EAPoL-Response[MD5 Password];802.1X设备端接收响应,802.1X客户端此时等待认证结果。
步骤311~312:802.1X设备端将802.1X客户端的用户名和密码通过用户远程设备拨号(Radius)协议发送给远端认证服务器进行认证,或者在接入设备上进行本地认证,若认证成功,则802.1X设备端向802.1X客户端发送成功接入报文EAPoL-Success,完成整个认证过程;802.1X客户端则接收成功报文,准备后续操作。
上述802.1X认证过程的基本前提是:要由客户端和设备端之间的认证协议开始帧(EAPoL-Start)触发802.1X的认证机制。但是,目前网络上存在着一些位于802.1X客户端和802.1X设备端之间的老设备,如交换机,其只能兼容DHCP报文而不能兼容EAPoL-Start报文,即:该类老设备只能透传DHCP报文而无法透传EAPoL-Start报文,因而无法触发802.1X认证,使802.1X无法得到广泛的应用。
同时,由于操作软件的问题,网络中还存在着一些802.1X客户端或者802.1X设备端无法选择是否用DHCP报文触发认证,因此对于802.1X客户端和802.1X设备端之间有的设备能透传EAPoL-Start报文,有的设备无法透传EAPoL-Start报文的情况无法适应,802.1X设备端可能把DHCP报文作为802.1X认证触发的报文或者把DHCP报文丢弃,这些都限制了组网的灵活性。
发明内容
有鉴于此,本发明的目的是提供一种802.1X认证的实现方法,使DHCP报文能触发802.1X的认证机制,保证802.1X的广泛应用。
为达到上述目的,本发明提供了一种802.1X认证的实现方法,802.1X客户端向802.1X设备端发触发802.1X认证报文,802.1X设备端用认证协议开始帧(EAPoL-Start)启动802.1X认证流程,该方法还包括:802.1X设备端收到802.1X客户端发来的触发认证报文后,判断该报文中是否包括DHCP报文且802.1X设备端是否开启允许DHCP报文作为802.1X认证触发报文的开关,如果是,则接收DHCP报文并将该报文转化为EAPoL-Start报文,触发802.1X认证过程;否则,接收EAPoL-Start报文触发802.1X认证过程或结束当前触发流程。
802.1X客户端根据当前组网设备情况或自身应用软件状况决定只发动态主机配置协议(DHCP)报文;或只发认证协议开始帧(EAPoL-Start);或同时发出DHCP报文和EAPoL-Start报文。
802.1X设备端是否开启允许DHCP报文作为802.1X认证触发报文的开关由实际组网环境或802.1X客户端软件应用环境决定。本发明还包括以下几种情况:当802.1X客户端只能发出DHCP报文时,802.1X设备端开启允许DHCP报文作为802.1X认证触发报文的开关;当802.1X设备端和802.1X客户端之间的设备无法透传EAPoL-Start报文时,802.1X客户端只发出DHCP报文,802.1X设备端开启允许DHCP报文作为802.1X认证触发报文的开关;当802.1X设备端和802.1X客户端之间设备能透传EAPoL-Start报文时,802.1X设备端关闭允许DHCP报文作为802.1X认证触发报文的开关。
接收EAPoL-Start报文触发802.1X认证流程或结束当前触发流程包括:
a.如果802.1X设备端未开启允许DHCP报文作为802.1X触发认证的开关,则802.1X设备端直接接收EAPoL-Start报文后进步骤c;
b.如果802.1X设备端开启了允许DHCP报文作为802.1X触发认证的开关但802.1X客户端发出的报文不包括DHCP报文,则判断802.1X客户端是否同时发出了EAPoL-Start报文,如果是,则802.1X设备端接收EAPoL-Start报文后进步骤c;否则,结束本触发流程;
c.触发802.1X标准认证过程。
由上述方案可以看出,本发明的关键是根据实际组网情况,可在802.1X设备端或802.1X客户端选择是否允许DHCP报文作为802.1X认证触发报文,当802.1X客户端发出包括DHCP在内的认证触发报文且802.1X设备端开启了允许DHCP报文作为802.1X认证触发报文的开关时,802.1X设备端接收该DHCP报文,并将其转化为EAPoL-Start报文,然后用转化后的EAPoL-Start报文触发802.1X标准认证过程,否则用EAPoL-Start报文直接触发802.1X认证或结束触发过程。
因此,由于本发明在802.1X设备端或802.1X客户端增加了一种选择的机制,能够在802.1X设备端或802.1X客户端选择是否允许DHCP报文作为802.1X认证触发的报文,不仅从最大程度上解决了目前网络上存在的一些位于802.1X设备端和802.1X客户端之间的老设备,无法透传802.1X开始报文EAPoL-Start所造成的无法兼容的问题,而且解决了802.1X客户端或802.1X设备端无法传送DHCP报文所造成无法由DHCP报文触发802.1X认证的问题,从而使802.1X得以广泛的应用。该发明实现起来简单可靠,效率很高。
附图说明
图1为802.1X的体系结构示意图。
图2是本发明是否选择用DHCP报文触发802.1X认证的实现流程图。
图3是802.1X设备端开启允许DHCP报文作为802.1X认证触发报文时802.1X认证的信令流程图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图2为本发明是否选择用DHCP报文触发802.1X认证的实现流程图,如图2所示,其包括以下步骤:
步骤200:802.1X客户端开始发出触发认证报文。该报文具体是何种报文要根据具体的组网环境或是802.1X客户端的软件支持情况而定,如果网络环境或客户端应用软件不支持EAPoL-Start报文,802.1X客户端只能发送DHCP报文;如果没有条件限制,802.1X客户端可以选择只发DHCP报文,或只发EAPoL-Start报文,或同时发出DHCP报文和EAPoL-Start报文。
步骤201~203:802.1X设备端接收802.1X客户端发来的报文,判断是否包括DHCP报文,如果没有,则接收EAPoL-Start报文,然后进入步骤210;否则,进入步骤204;
步骤204~206:判断802.1X设备端是否开启了允许DHCP报文作为802.1X触发认证的开关,如果开启了,则802.1X设备端接收DHCP报文,并将收到的DHCP报文转化为EAPoL-Start报文,然后进入步骤210;否则,进入步骤207。其中,将DHCP报文转化为EAPoL-Start报文可直接采用现有技术中的转化方法;而是否开启允许DHCP报文作为802.1X触发认证的开关在此处实际上就是:是否允许将DHCP报文转化为EAPoL-Start报文,如果开启开关就是允许,否则就是不允许。
步骤207~209:判断802.1X客户端是否同时发出了EAPoL-Start报文,如果是,则802.1X设备端接收EAPoL-Start报文,然后进入步骤210;否则,结束本触发流程。
步骤210:用直接收到的或由DHCP报文转化来的EAPoL-Start报文触发802.1X标准认证过程。
802.1X设备端允许DHCP报文作为802.1X触发认证的开关状态是根据802.1X设备端和802.1X客户端之间的设备是否可透传EAPoL-Start报文,或802.1X客户端的软件应用状况决定的,是与802.1X客户端发出报文状态相对应的,开关可根据实际需要预先设置或实时设置:当802.1X设备端和802.1X客户端之间的设备,如交换机无法透传EAPoL-Start报文,则开启开关;当802.1X设备端和802.1X客户端之间的设备可以透传EAPoL-Start报文,则关闭开关,减少802.1X设备端的负荷。
有些情况下,802.1X客户端只能发出DHCP报文,比如使用视窗的XP版本(WINDOWS XP)操作系统提供的客户端软件时,虽然该软件基于802.1X协议与802.1X设备端的直接或间接连接,但由于软件自身的原因该802.1X客户端不会发出EAPoL-Start报文,只会发出DHCP报文。那么,此种情况下,802.1X设备端必须开启允许DHCP报文作为802.1X认证触发报文的开关才能触发802.1X认证。
图3是以802.1X设备端开启允许DHCP报文作为802.1X认证触发报文为实施例的802.1X认证信令流程图,参见图3所示,该认证系统主要由用户终端30,802.1X客户端软件状态机31和802.1X设备端32组成。本实施例中,802.1X客户端只会发送DHCP报文,同时,根据802.1X客户端的状况,802.1X设备端开启了允许DHCP作为802.1X认证触发报文的开关。那么,由DHCP报文触发802.1X认证过程由以下步骤完成:
步骤301~302,用户终端30开机,启动802.1X客户端软件状态机31,802.1X客户端31开始向802.1X设备端32发出DHCP报文。
步骤303:802.1X设备端32捕获该DHCP报文后,由于802.1X设备端32已经开启了允许DHCP作为802.1X认证触发报文的开关且802.1X客户端31发送的是DHCP报文,则802.1X设备端32将收到的DHCP报文转化为EAPoL-Start报文,并由该EAPoL-Start报文触发802.1X的标准认证过程。
步骤304~312:与现有技术中的802.1X认证过程完全相同,只是触发802.1X认证过程的EAPoL-Start报文是由DHCP报文转化来的。
当802.1X客户端和802.1X设备端之间有不能透传EAPoL-Start报文的设备,如交换机时,则802.1X客户端发出DHCP报文,通过该交换机将DHCP报文透传至802.1X设备端,802.1X设备端接收到该DHCP报文后,先将其转化为EAPoL-Start报文,再利用转化后的EAPoL-Start报文触发802.1X标准认证过程。
本发明所提供的这种是否选择用DHCP报文触发802.1X认证的方法,一方面解决了老交换机无法透传EAPoL-Start报文的问题,另一方面也解决了802.1X客户端无法发出EAPoL-Start报文或者802.1X设备端无法接收EAPoL-Start报文的问题,为802.1X的广泛应用创造了有力的保证,并且易于实现,达到了很好的效果。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种802.1X认证的实现方法,802.1X客户端向802.1X设备端发触发802.1X认证报文,802.1X设备端用认证协议开始帧(EAPoL-Start)启动802.1X认证流程,其特征在于该方法还包括:802.1X设备端收到802.1X客户端发来的触发认证报文后,判断该报文中是否包括动态主机配置协议(DHCP)报文且802.1X设备端是否开启允许DHCP报文作为802.1X认证触发报文的开关,如果是,则接收DHCP报文并将该报文转化为EAPoL-Start报文,触发802.1X认证过程;否则,接收EAPoL-Start报文触发802.1X认证过程或结束当前触发流程。
2.如权利要求1所述的方法,其特征在于该方法进一步包括:802.1X客户端根据当前组网设备情况或自身应用软件状况决定只发动态主机配置协议(DHCP)报文;或只发认证协议开始帧(EAPoL-Start);或同时发出DHCP报文和EAPoL-Start报文。
3.如权利要求1所述的方法,其特征在于:所述802.1X设备端是否开启允许DHCP报文作为802.1X认证触发报文的开关由实际组网环境或802.1X客户端软件应用环境决定。
4.如权利要求2或3所述的方法,其特征在于该方法进一步包括:802.1X客户端只能发出DHCP报文时,802.1X设备端开启允许DHCP报文作为802.1X认证触发报文的开关。
5.如权利要求2或3所述的方法,其特征在于该方法进一步包括:802.1X设备端和802.1X客户端之间的设备无法透传EAPoL-Start报文时,802.1X客户端只发出DHCP报文,802.1X设备端开启允许DHCP报文作为802.1X认证触发报文的开关。
6.如权利要求3所述的方法,其特征在于:802.1X设备端和802.1X客户端之间设备能透传EAPoL-Start报文时,802.1X设备端关闭允许DHCP报文作为802.1X认证触发报文的开关。
7.如权利要求1所述的方法,其特征在于:所述接收EAPoL-Start报文触发802.1X认证流程或结束当前触发流程进一步包括:
a.如果802.1X设备端未开启允许DHCP报文作为802.1X触发认证的开关,则802.1X设备端直接接收EAPoL-Start报文后进步骤c;
b.如果802.1X设备端开启了允许DHCP报文作为802.1X触发认证的开关但802.1X客户端发出的报文不包括DHCP报文,则判断802.1X客户端是否同时发出了EAPoL-Start报文,如果是,则802.1X设备端接收EAPoL-Start报文后进步骤c;否则,结束本触发流程;
c.触发802.1X标准认证过程。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02148766 CN1274124C (zh) | 2002-11-19 | 2002-11-19 | 一种802.1x认证的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02148766 CN1274124C (zh) | 2002-11-19 | 2002-11-19 | 一种802.1x认证的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1503533A true CN1503533A (zh) | 2004-06-09 |
CN1274124C CN1274124C (zh) | 2006-09-06 |
Family
ID=34233321
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02148766 Expired - Lifetime CN1274124C (zh) | 2002-11-19 | 2002-11-19 | 一种802.1x认证的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1274124C (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101207475B (zh) * | 2006-12-15 | 2010-05-26 | 友劲科技股份有限公司 | 一种网络系统的防止非授权连结方法 |
CN1980234B (zh) * | 2005-12-09 | 2010-09-29 | 中兴通讯股份有限公司 | 一种动态实现开启或关闭802.1x认证功能的方法 |
CN102195952A (zh) * | 2010-03-17 | 2011-09-21 | 杭州华三通信技术有限公司 | 触发802.1x认证的方法及设备端 |
-
2002
- 2002-11-19 CN CN 02148766 patent/CN1274124C/zh not_active Expired - Lifetime
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1980234B (zh) * | 2005-12-09 | 2010-09-29 | 中兴通讯股份有限公司 | 一种动态实现开启或关闭802.1x认证功能的方法 |
CN101207475B (zh) * | 2006-12-15 | 2010-05-26 | 友劲科技股份有限公司 | 一种网络系统的防止非授权连结方法 |
CN102195952A (zh) * | 2010-03-17 | 2011-09-21 | 杭州华三通信技术有限公司 | 触发802.1x认证的方法及设备端 |
Also Published As
Publication number | Publication date |
---|---|
CN1274124C (zh) | 2006-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100341305C (zh) | 基于802.1x协议的组播控制方法 | |
JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
US8762726B2 (en) | System and method for secure access | |
CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
JP2005142848A (ja) | 無線lanシステム、およびその通信制御方法、ならびにアクセスポイント | |
WO2010003354A1 (zh) | 认证服务器及虚拟专用网的移动通信终端接入控制方法 | |
CN1266910C (zh) | 一种选择802.1x认证方式的方法 | |
CN1235382C (zh) | 一种基于802.1x协议的客户端认证方法 | |
CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
CN1274124C (zh) | 一种802.1x认证的实现方法 | |
CN1266889C (zh) | 基于802.1x协议的网络接入设备管理方法 | |
CN1527557A (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
CN108712398B (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
CN1265579C (zh) | 一种对网络接入用户进行认证的方法 | |
CN101516091A (zh) | 一种基于端口的无线局域网接入控制系统及方法 | |
CN1277396C (zh) | 一种802.1x认证系统中重认证的实现方法 | |
CN1688124A (zh) | 基于端口技术和认证协议的无线网络接入控制方法 | |
Cisco | PPP Commands for Wide-Area Networking | |
KR20070078212A (ko) | 공중 무선랜에서의 다중 모드 접속 인증 방법 | |
CN1266919C (zh) | 一种802.1x客户端ip地址再获取方法 | |
CN100450283C (zh) | 访问端和业务应用实体建立信任关系的方法 | |
CN1567859A (zh) | 一种无线局域网的接入认证方法 | |
CN100352229C (zh) | 一种802.1x认证方法 | |
CN1595897A (zh) | 域认证和用户网络权限控制统一处理的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term | ||
CX01 | Expiry of patent term |
Granted publication date: 20060906 |